Last Updated on 2024-06-30 04:45 by 門倉 朋宏
ハッカーがOpenMetadataの脆弱性を悪用してKubernetes上で暗号通貨をマイニングしていることが明らかになった。この攻撃は2024年4月から始まったとMicrosoft Threat Intelligenceチームが報告している。OpenMetadataはオープンソースのメタデータ管理ツールで、データ資産の発見、可観測性、ガバナンスのための統合ソリューションを提供する。セキュリティ研究者Alvaro Muñozによって発見された脆弱性は以下の通りである。
– CVE-2024-28847 (CVSSスコア: 8.8) – PUT /api/v1/events/subscriptionsにおけるSpring Expression Language (SpEL) インジェクション脆弱性(バージョン1.2.4で修正)
– CVE-2024-28848 (CVSSスコア: 8.8) – GET /api/v1/policies/validation/condition/
– CVE-2024-28253 (CVSSスコア: 8.8) – PUT /api/v1/policiesにおけるSpELインジェクション脆弱性(バージョン1.3.1で修正)
– CVE-2024-28254 (CVSSスコア: 8.8) – GET /api/v1/events/subscriptions/validation/condition/
– CVE-2024-28255 (CVSSスコア: 9.8) – 認証バイパス脆弱性(バージョン1.2.4で修正)
これらの脆弱性の成功した悪用により、攻撃者は認証をバイパスし、リモートコード実行を達成することが可能になる。攻撃者は未修正のOpenMetadataワークロードをターゲットにし、OpenMetadataイメージを実行しているコンテナ上でコード実行を行う。初期アクセスを得た後、攻撃者はコンプロマイズされた環境へのアクセスレベルを判断し、ネットワークやハードウェアの構成、オペレーティングシステムのバージョン、アクティブユーザーの数、環境変数などの詳細を収集するための偵察活動を行う。攻撃者は、攻撃者が制御するインフラストラクチャへのネットワーク接続を検証するために、公開されているサービスにpingリクエストを送信する。最終的な目標は、オペレーティングシステムに応じて、中国にあるリモートサーバーからWindowsまたはLinuxバリアントの暗号マイニングマルウェアを取得し、デプロイすることである。マイナーが起動されると、攻撃者は初期ペイロードをワークロードから削除し、Netcatツールを使用してリモートサーバーに対してリバースシェルを開始し、システムを乗っ取る。攻撃者はcronジョブを設定して、定義された間隔で悪意のあるコードを実行することにより、永続性を確保する。興味深いことに、攻撃者は自分たちが貧しいためにお金が必要であり、車とスーツを買うために違法なことをしたくないと述べる個人的なメモを残す。OpenMetadataユーザーには、強力な認証方法に切り替え、デフォルトの資格情報の使用を避け、最新バージョンのイメージに更新することが勧められている。この攻撃は、コンテナ化された環境で完全にパッチを適用したワークロードを実行することの重要性を再確認するものであると研究者は述べている。
【ニュース解説】
2024年4月から、ハッカーがOpenMetadataの脆弱性を悪用してKubernetes上で暗号通貨をマイニングする活動が活発に行われていることが報告されました。OpenMetadataは、データ資産の発見、可観測性、ガバナンスを一元的に管理するオープンソースのメタデータ管理ツールです。この攻撃は、セキュリティ研究者Alvaro Muñozによって発見された複数の脆弱性を利用しています。
これらの脆弱性を悪用することで、攻撃者は認証を回避し、リモートからコードを実行することが可能になります。攻撃者は、未修正のOpenMetadataワークロードをインターネット経由で標的にし、そのシステム上で暗号マイニングマルウェアを実行します。このプロセスには、初期アクセスの確立、環境の偵察、攻撃者のインフラストラクチャへのネットワーク接続の検証、コマンドアンドコントロール通信の確立、そして最終的にはマイニングマルウェアのデプロイが含まれます。
この攻撃の影響は、セキュリティが不十分なシステムを利用することで、企業や組織のリソースが不正に使用されることにあります。暗号マイニングは大量の計算リソースを消費するため、攻撃対象のシステムのパフォーマンスが著しく低下する可能性があります。また、このような攻撃は、企業のセキュリティ体制の弱点を露呈させることで、他の悪意ある活動への扉を開く恐れがあります。
この攻撃から学ぶべき教訓は、オープンソースソフトウェアを使用する際には、常に最新のセキュリティパッチを適用し、強力な認証方法を使用することの重要性です。また、デフォルトの設定や資格情報に依存しないことも、セキュリティを強化する上で重要なポイントとなります。
長期的な視点では、このような攻撃は、セキュリティ研究者や開発者にとって、ソフトウェアの設計と実装の段階からセキュリティを考慮することの重要性を再認識させます。また、企業は、セキュリティ対策を継続的に見直し、強化することで、将来的な脅威に対してより効果的に対処できるようになる必要があります。この攻撃は、セキュリティのベストプラクティスを遵守することの重要性を示す一例であり、全ての組織がこのような脅威から学び、対策を講じることが求められています。
from Hackers Exploit OpenMetadata Flaws to Mine Crypto on Kubernetes.
